Triagem de falso-positivo do AWAF

O outro lado do estimador de envenenamento: relaxe um falso positivo genuíno do Advanced WAF corretamente, com escopo, e pare antes de relaxar um ataque real. Escolha uma categoria de violação, seu violation rating médio, e se está enforced, staged ou transparent, e obtenha o veredito baseado em rating do F5 e a correção com escopo. Roda inteiramente no seu navegador.

Segurança e WAF

A violação que você está triando

Calculado no seu navegador. Nada é enviado.

Um modelo determinístico do comportamento de triagem documentado do F5, não uma sondagem. Leia a violação, o rating e o estado de enforcement da requisição em Security > Event Logs > Application > Requests. Nunca contata um BIG-IP.

Provavelmente um falso positivo

Não bloqueando (apenas registrado)Se você confirmar que é legítimo, aplique a correção com escopo abaixo (ou aceite a sugestão de aprendizado).

Correção com escopo (se for um falso positivo confirmado)

  • Desabilite a signature específica apenas na URL ou parâmetro específico, nunca para toda a política.
  • Adicione a URL ou parâmetro como entidade permitida para a verificação ser ignorada apenas ali.
  • Habilite o Potential False Positive Detection para o sistema aprender a similaridade das requisições e tratar as parecidas com a maioria como benignas, sinalizando outliers.
  • Coloque a signature (de volta) em staging para que registre mas não bloqueie enquanto você coleta mais tráfego.

Tenha em mente

  • Para falsos positivos de attack signature, o Potential False Positive Detection é a opção mais leve: deixa o sistema decidir por similaridade de tráfego em vez de você desabilitar signatures à mão.
  • Sempre limite a correção à URL ou parâmetro específico. Desabilitar uma signature ou violação para toda a política troca um falso positivo por um ponto cego em todo o resto.
  • A regra que rege tudo isto: relaxe a política apenas onde um falso positivo de fato ocorreu, nunca onde um ataque real causou a violação.
Endpoint da APIGEThttps://ronutz.com/api/v1/f5-awaf-false-positive-triageDocumentado, não servido. Abre a especificação.

Referências